Phenquestions
Lõppkasutajad saavad kasutada SAML SSO-d ühele või mitmele AWS-i kontole autentimiseks ja juurdepääsuks kindlatele positsioonidele tänu Okta AWS-i integreerimisele. Okta administraatorid saavad rollid Oktasse alla laadida ühest või mitmest AWS-ist ja jaotada need kasutajatele. Veelgi enam, Okta administraatorid võivad Okta abil määrata ka autentitud kasutaja seansi pikkuse. Lõppkasutajatele antakse AWS-i ekraanid, mis sisaldavad AWS-i kasutajarollide loendit. Nad võivad valida endale sisselogimisrolli, mis määrab nende õigused selle autentitud seansi pikkuseks.
Ühe AWS-konto lisamiseks Oktasse toimige järgmiselt
Okta konfigureerimine identiteedi pakkujana:
Kõigepealt peate Okta konfigureerima identiteedipakkujaks ja looma SAML-ühenduse. Logige sisse oma AWS-i konsooli ja valige rippmenüüst suvand „Identiteedi ja juurdepääsu haldamine”. Avage menüüribal „Identity Providers“ ja looge identiteedipakkujatele uus eksemplar, klõpsates nuppu „Add Provider.”Ilmub uus ekraan, mida nimetatakse pakkuja seadistamise ekraaniks.
Siin valige „Pakkuja tüübiks” „SAML”, sisestage „Pakkuja nimeks” „Okta” ja laadige üles järgmist rida sisaldav metaandmete dokument:
Kui olete identiteedipakkuja konfigureerimise lõpetanud, minge loendisse Identity Providers ja kopeerige äsja välja töötatud identiteedipakkuja väärtus „Provider ARN”.
Identiteedipakkuja lisamine usaldusväärse allikana:
Pärast Okta konfigureerimist identiteedipakkujaks, mida Okta saab kasutajatele hankida ja neile eraldada, saate ehitada või värskendada olemasolevaid IAM-i positsioone. Okta SSO saab pakkuda teie kasutajatele ainult rolle, mis on konfigureeritud andma juurdepääsu varem installitud Okta SAML-i identiteedipakkujale.
Juurdepääsu võimaldamiseks konto juba olemasolevatele rollidele valige esmalt menüüribalt suvandist „Rollid” roll, mida soovite kasutada Okta SSO-l. Muutke selle rolli vahekaardil selle rolli „Usaldusväärne suhe”. Et lubada Okta SSO-l kasutada varem konfigureeritud SAML-i identiteedipakkujat, peate muutma IAM-i usaldussuhete poliitikat. Kui teie reegel on tühi, kirjutage järgmine kood ja kirjutage üle
Vastasel juhul muutke lihtsalt juba kirjutatud dokumenti. Kui soovite anda juurdepääsu uuele rollile, minge vahekaardilt Rollid jaotisse Loo roll. Usaldusväärse üksuse tüübi jaoks kasutage SAML 2.0 föderatsiooni. Kui olete IDP nime valinud SAML-i pakkujaks, jätkake luba.e., Okta ning haldusele ja programmilisele juhtimisele juurdepääsu võimaldamine. Valige uuele rollile määratav poliitika ja lõpetage seadistamine.
Rollide allalaadimiseks Okta jaoks API-võtme genereerimine:
Selleks, et Okta saaks teie kontolt automaatselt importida võimalike rollide loendi, looge ainulaadsete õigustega AWS-i kasutaja. See muudab administraatoritel kasutajate ja rühmade delegeerimise konkreetsetesse AWS-i rollidesse kiireks ja turvaliseks. Selleks valige kõigepealt konsoolist IAM. Selles loendis klõpsake sellel paneelil valikut Kasutajad ja Lisa kasutaja.
Pärast kasutajanime lisamist ja programmilise juurdepääsu andmist klõpsake valikul Load. Looge poliitika pärast seda, kui olete valinud otseselt suvandi „Lisa poliitikad” ja klõpsake nuppu „Loo poliitika.”Lisage allpool toodud kood ja teie poliitikadokument näeb välja selline:
Vajadusel lugege AWS-i dokumentatsiooni. Sisestage poliitika eelistatud nimi. Minge tagasi vahekaardile Lisa kasutaja ja lisage sellele hiljuti loodud reegel. Otsige ja valige just loodud poliitika. Nüüd salvestage kuvatud võtmed, st.e., Juurdepääsuvõtme ID ja salajane pääsuvõti.
AWS-i konto ühendamise konfigureerimine:
Pärast kõigi ülaltoodud toimingute lõpetamist avage AWS-i konto föderatsioonirakendus ja muutke Okta vaikesätteid. Muutke vahekaardil Sisselogimine oma keskkonnatüüpi. ACS-i URL-i saab määrata ACS-i URL-i piirkonnas. Üldiselt on ACS URL-i ala valikuline; te ei pea seda sisestama, kui teie keskkonnatüüp on juba määratud. Sisestage Okta konfigureerimisel loodud identiteedipakkuja Provider ARN väärtus ja määrake ka seansi kestus. Ühendage kõik kellelegi määratud saadaolevad rollid, klõpsates suvandil Liitu kõigi rollidega.
Pärast kõigi nende muudatuste salvestamist valige järgmine vahekaart, st.e., Vahekaart Hooldus ja muutke selle spetsifikatsioone. AWS-i kontoühenduse rakenduse integreerimine ei toeta eraldamist. Andke API-le juurdepääs Oktale kasutaja määramisel kasutatud AWS-i rollide loendi allalaadimiseks, lubades API integreerimise. Sisestage võtmeväärtused, mille olete salvestanud pärast juurdepääsuvõtmete genereerimist vastavatele väljadele. Esitage kõigi ühendatud kontode ID-d ja kontrollige API mandaate, klõpsates suvandil Testida API mandaate.
Kõigi funktsioonide ja lubade värskendamiseks looge kasutajad ja muutke konto atribuute. Nüüd valige inimeste määramise ekraanilt testkasutaja, kes testib SAML-ühendust. Valige kõik määratavad reeglid, mida soovite sellele testkasutajale määrata, SAML-i kasutajarollidest, mis leiate kasutaja määramise ekraanilt. Pärast määramisprotsessi lõpetamist kuvatakse test Okta juhtpaneelil AWS-i ikoon. Pärast testkasutaja kontole sisselogimist klõpsake sellel suvandil. Näete kõigi teile eraldatud ülesannete ekraani.
Järeldus:
SAML võimaldab kasutajatel kasutada üht volitatud volikirjade komplekti ja luua ühenduse teiste SAML-toega veebirakenduste ja -teenustega ilma täiendavate sisselogimisteta. AWS-i SSO muudab hõlpsaks ühendatud AWS-kirjete, -teenuste ja -rakenduste föderaalse juurdepääsu pooleldi jälgimise ning annab klientidele ühekordse sisselogimiskogemuse kõigile neile määratud kirjetele, teenustele ja rakendustele ühest kohast. AWS SSO töötab enda valitud identiteedipakkujaga, s.t.e., Okta või Azure SAML-i protokolli kaudu.
